姚佳:知情同意原则抑或信赖授权原则——兼论数字时代的信用重建

选择字号:   本文共阅读 170 次 更新时间:2020-06-26 08:07:11

进入专题: 知情同意原则   信赖授权原则   数字时代  

姚佳  

   摘要:知情同意原则在医疗领域、个人信息保护领域被认为是公认规则,意在实现与加强个人自决,但是此种自决与人们的风险认知、数据利用的客观规律存在矛盾与冲突。实践中,个人与平台的用户协议以及司法实践都将知情同意转化为同意授权,而在普遍是陌生人交往更多于熟人交往的数字社会关系中,个人授权远悖离其信赖本意。如若仅将知情同意看作是一种法律技术规则,而并不考虑其所适用的现实基础、制度特征和风险分配,则无法实现制度功用。事实上,在无法找到替代规则的前提下,更应考虑对制度进行重新解释与改造,补足其实现基础与条件,重建一种信任和信用场域,从而实现知情同意与授权的制度初衷。

   关键词:知情同意;信赖授权;风险分配;信用;信任

   个人信息的产生、转化与流动构成“信息生态链”个人与信息持有主体之间始终居于各种静态与动态的法律关系之中。事实上,对个人信息的保护是一种消极防御,而对其利用则是一种积极建构。在个人信息的“全生命周期”中,知情同意是一道“闸口”,无论是信息采集、利用,还是相应转换、转移,均绕不开“知情同意”。但近年来该原则受质疑颇多,尽管知情同意对加强个人自决或程序意义上的授权具有正当性,但是在数据大量聚合、技术推动下的利用方式不可预期等背景下,该原则往往可能被架空。[1]除外在因素影响之外,知情同意原则本身应成为反思的起点,何为“知情”,何为“同意”,这一原则从最初产生,到不断拓展适用,其本质上究竟要揭示何种原理,当下个人信息利用中的知情同意原则是否已与传统认知相分离,并可能被赋予新的内涵或解释路径,仍需探讨。事实上,理论与法律规则具有客观规律性,但并不存在纯粹的、脱离社会变迁的法技术规则,任何法律规则都将结合社会事实与法学理念,进而才能被客观理解与恰当适用。本文以此为任,试图溯及知情同意原则之本源,因应社会变化发展,构建一种新的解释框架,或可为理论与实践寻找一种新的进路。

  

   一、知情同意之风险分配机理

   从知情同意的本源来看,其根本上是一种主体交往之时设定法律关系的前提与基础行为,无论是政治权威的建立还是对他人的授权,始终具有拓展交往主体能力的功能与作用,同时该行为还具有”限权与自我义务设定”之效果。[2]“知情—同意”作为一种行为模式,其被应用于诸多社会关系构建之中,涉及政治国家、医疗领域、消费者保护与个人信息利用等。在不同的社会关系之中,就行为外观而言,“知情”与“同意”大致相似甚至相同;但由于个体所面对的事实、对象与场域不同,不同的“同意”内容,则可能会形成不同的社会效果或法律效果。尤其在当下社会中,科技迅速发展、社会急剧变革,人们身处诸多不确定性与风险之中。这些风险不仅笼统地存在于整个社会,更下沉至具体场景与行为之中。

   知情同意原则传统上普遍适用于医疗领域,通过对患者进行风险告知,从而加强患者的自决权。医疗作为一种高风险活动,其风险来源主要包括医疗的固有风险和医方的过错。固有风险通常受制于医疗技术的客观发展水平;医方的过失风险系指医方主观过错可能导致的风险,[3]当然,此种风险也不排除可能会受制于相应医疗科学技术的实际发展情况。[4]医方通过告知患者相应风险,从而在一定程度上保证诊疗风险的透明性与客观性,究其实质,更是一种风险的承担。然而,患者如何判断自身能否承受相应诊疗风险,其所接受的诊疗方案是否是最合理与最合适的,似乎是一个充满不确定性的问题。如同考夫曼在讨论风险社会之时谈到,一个几乎没有指望的重病患者,如果孤注一掷,决定接受一个新的、危险的、唯一可以痊愈的治疗方案,则此项决定难谓是不具合理性的。关键在于,风险的大小与欲达目标的道德性质之间要处于一种适当的关系。[5]由是观之,医疗领域的患者知情同意,无论是制度初衷还是现实需求,其核心要义都在于相应的固有风险由患者承担,实质上是一种风险分配机制,同时构成侵权法上的违法阻却性事由。

   从知情同意原则[6]的基本构成来看,其是围绕“限权”这一主线。在个人信息保护领域,知情同意原则作为一项法定原则,实践中主要表现为,平台经营者通过发布隐私政策或用户协议等方式获取相应授权,从而获得对用户个人信息的处理与利用等相关权限。作为最前端的个人信息收集利用中的知情同意原则,其被湮没在诸多法技术之中,但其重要性远不止于此。因为在整个信息或数据价值链之中,对信息或数据的收集、汇聚、处理与分析等成为一个体系,个体在作出知情同意行为之后所涉及的数据处理与利用活动,毋宁说是被收集者,即便是收集者可能也无法完全预知与穷尽所有的数据利用方式。诚如有论者所言,在大数据时代,除非我们能回避所有数据收集,否则我们将无法拒绝成为大数据技术的预测对象;即我们没有退出的权利(the right to optout)和可能性。[7]换言之,在个人信息保护领域,个体处于一种充满不确定性的风险环境之中。当然,对于后端的数据利用而言,有一些利用方式是可以被预知的,但仍有很多方式无法被预知。从风险维度而言,对数据利用的风险,也可以分为固有风险以及基于平台经营者过失所产生的风险。固有风险包括科技水平所限以及未知科技发展所产生的不可预见、不可避免或者可预见而不可避免的风险;平台经营者过失所产生的风险包括应当预见自己的行为可能发生信息泄露或被不当利用等结果,因为疏忽而没有预见或者已经预见而轻信能够避免的情况。对于这些风险,相对充分掌控风险者是信息收集者,如若因其故意或过失泄露数据,此种泄露将可能是成规模地泄露,不仅侵害个体权益,更可能会导致平台经营者甚至整个社会陷入一种声誉危机,比如Facebook在2018年剑桥分析事件中所导致的信息泄露即为此例。

   “风险社会”理论的提出者乌尔里希·贝克所讨论的“风险分配”更多是从社会以及世界范围内所遭遇的风险角度而言的。而对于具体的法律关系而言,事实上也存在如何考量风险以及风险如何分配等问题。从一种概括的风险维度而言,在个体与信息收集者之间,个人的风险更多地被信息收集者所控,医疗侵权更多地表现为一种“风险转移”或医方的“风险豁免”,但是在个人信息保护之中却并不是“风险转移”,并且几乎不可能被豁免。风险可能并未减少,但是究竟是何种风险却不得而知,不确定性也呈几何数增加。这也使知情同意原则在个人信息保护领域发生了较为根本性的变化。

   事实上,可从如下角度考虑衡量相应风险分配的标准。

   第一,不同主体的风险地位。在信息流动中,个体几乎居于风险的主要位置,即要承载由不确定风险所带来的所有后果,但是从信息获得、披露与结果承受等角度而言,个体几乎陷于一种消极、被动的地位,而在很大程度上能够掌控相应风险或获得更为对称信息的却是掌握个人信息的平台或企业一方。因此,有风险者无法负担风险,而风险掌控者却可能在负担风险之时“缺席”。

   第二,事物或环境的客观风险因素。个人信息利用风险受制于数据利用技术的方式与途径。事实上,患者所需要承担的医疗风险,其对应的只是医疗技术和医者过失;但是个人信息利用风险却是面临无数数据利用(不当利用)环节,并在众多主体之间移转。抽象而言,二者无法在定量上作一种比较,但从定性上而言,后者风险的不确定性程度显然更高。

   第三,主体之间的信任关系。实际上所有在讨论风险与知情同意原则之时,似乎都可转换为另外一个命题——信任。上述家属拒签风险告知书而致病患死亡,即是在根本上对医方、对可能的医疗技术缺乏信任之例。而在个人信息收集利用方面,由于个人即便在使用应用软件之时同意相应隐私协议,实际上个人也仍然无法预知或充分了解科技可能带来的风险,而更不可能去对抗或消减相应的风险,因此,更需要技术控制者以及信息持有者控制此种风险,这实质上需要一种信任机制的建立。

  

   二、信赖授权与授权信赖

   由于科技本身所具有的认知“壁垒”与“高门槛”,以及科技的快速普及,使得这种个人信息采集、利用所产生的风险的辐射面更广。比起形式意义远大于实质意义的“知情同意”行为而言,在风险分配客观性的基础上,由信息收集利用者成为控制和应对风险的主要主体更具客观性与可行性。因此,与其批判知情同意原则的虚空,不如改造基于知情同意的相应行为,使其回归“信任”与“信赖”的本质内核,从而使个人信息收集、利用行为能够真正应对来自科技和违法违规行为等方面的风险。

   (一)知情同意的分层设置

   知情同意在个人信息利用中被认为是一个理所应当的原则,但对“知情”的对象,比如信息收集利用的方式(情形),个人究竟了解到什么程度,基本上很难判断。一般而言,到底应当用何种标准去衡量个体是否知情,究竟是一般理性人的认知标准还是“千人千面”的差别化认知标准?这也是一个极其复杂的问题。实践中,绝大多数人可能都不太认为有必要或者有兴趣去了解某一款APP的隐私政策中相关术语究竟是何种内涵,更不会去查阅或主动了解相关风险,因为这对他们下载和使用该款APP几乎没有影响,只要“一键”同意或接受,就可以实现使用目的。然而,“知情同意”作为一种行为,就像一道“闸门”,只要做出表示“知情”并且“同意”的行为,其在法律上就会产生相应的效力,也由此产生了个体“知情”的形式与实质的冲突。申言之,人们通常所讨论的知情同意,都是一种形式或行为外观意义上的“知情同意”,而往往并非实质意义上的知情同意,因为人的主观意思也都只能通过行为来表示,因此强调形式上的知情同意也并无不妥,只不过在知情同意这个行为上,“形式知情”与“实质知情”的分离更加明显而已。

   无论从个体的主观认识,还是从现实中信息收集利用的客观活动等角度来看,此种知情同意往往可能在很多方面都流于形式,因此,有一些论者反对知情同意原则。比如,有论者认为,由于现代社会的数据处理难以事先界定明确的目的,如果僵化适用知情同意原则,那么数据活动则无法展开,数据经济将会举步维艰。[8]也有论者认为,知情同意中的决定不再只是“个人决定”。通过大数据技术,“个人决定”将会转化成一种“个人——集体决定”,并必然给他人带来直接影响。在这个理解下,个人决定转化成一种新的道德责任,而我们在做决定前亦有道德义务考虑这个决定将会对其他与我们相似的人所带来的影响。[9]此种观点已在相当程度上接近于数据时代的特征以及数据利用的本质,但是个人在自己做出“知情同意”行为之时尚且不知自己的风险所在,何谈考虑给他人带来何种影响呢?此种道德责任感值得肯定,但是可能过于超出现阶段的客观现实情况与迫切需求,似水中望月不可及。

   从风险角度反观知情同意原则,其似有进一步细化的空间与可能性。从风险的知晓程度而言,知情同意的对象可分为已知风险与未知风险;如若从获取与持有信息的主体而言,又可分为初始获取主体与后续转移主体,而后续转移主体究竟是谁,绝大多数的个体都可能不知,或者完全不可能知道,这取决于该初始获取主体会跟哪些主体进行必要的商业或非商业往来。而确定的则是个体信息可能会处于不确定的风险之中。至此,基本上比较清晰的是,知情同意从风险与掌控风险角度,似可作一种分层设置,即对已知风险的知情同意以及未知风险的知情同意;对初始获取主体的知情同意以及后续转移主体的知情同意。但这其中,体现出知情同意的一种被动性特征。同时也出现了一定的矛盾之处,即个人怎会对未知风险和并不确定以及无法知晓的后续主体进行知情同意?这也是始终让人们既认为应当要有知情同意原则,同时又认为其事实上无法发挥作用的重要原因。

   (二)“三重授权”中的授权

尽管知情同意原则陷入一种进退维谷的境地,但实践中,这一原则在“个人——平台”两造之间的隐私协议中,(点击此处阅读下一页)

    进入专题: 知情同意原则   信赖授权原则   数字时代  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/121842.html

2 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2020 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
工业和信息化部备案管理系统